張鉦林

【摘要】 隨著全球IPv4地址分配完畢，IP地址短缺問(wèn)題日益嚴(yán)重。鑒于IPv6的規(guī)模應(yīng)用尚需時(shí)日，為正常發(fā)展業(yè)務(wù)，運(yùn)營(yíng)商在網(wǎng)絡(luò)中引入了NAT44部署。本文針對(duì)NAT44部署相關(guān)策略、路由策略、用戶(hù)溯源等進(jìn)行分析，并給出相應(yīng)的部署建議。

【關(guān)鍵詞】 IP地址 NAT44 用戶(hù)溯源

一、前言

隨著互聯(lián)網(wǎng)快速發(fā)展、智能終端的大量出現(xiàn)，對(duì)IP地址需求越來(lái)越大，現(xiàn)有IPv4地址已難以支撐網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展需求，2011年2月互聯(lián)網(wǎng)名稱(chēng)與數(shù)字地址分配機(jī)構(gòu)（ICANN）公布全球IPv4地址已分配完畢，由于歷史原因，中國(guó)所擁有的IPv4地址資源有限（截止2010年6月IPv4地址數(shù)量約2.5億，遠(yuǎn)落后于當(dāng)時(shí)4.2億網(wǎng)民的需求），IPv4地址不足已成為國(guó)內(nèi)各運(yùn)營(yíng)商業(yè)務(wù)發(fā)展關(guān)鍵瓶頸。

由于IPv6規(guī)模商用尚需時(shí)日，為解決用戶(hù)發(fā)展與IP地址不足間的矛盾，運(yùn)營(yíng)商需要在網(wǎng)絡(luò)內(nèi)部署NAT44，運(yùn)營(yíng)級(jí)NAT44的部署可有效擴(kuò)展公有IP地址使用效率，解決用戶(hù)地址不足的問(wèn)題。本文通過(guò)結(jié)合某運(yùn)營(yíng)商現(xiàn)網(wǎng)運(yùn)維的經(jīng)驗(yàn)，對(duì)運(yùn)營(yíng)級(jí)NAT44的部署方案，路由策略、端口及IP地址使用策略，以及用戶(hù)溯源等進(jìn)行探討。

二、運(yùn)營(yíng)級(jí)NAT44系統(tǒng)組成

在運(yùn)營(yíng)級(jí)NAT44系統(tǒng)中，主要由NAT設(shè)備、BRAS（AC）、AAA、DPI、日志系統(tǒng)（Log Server）、等構(gòu)成如圖1的拓?fù)浣Y(jié)構(gòu)：

圖1 NAT44架構(gòu)

網(wǎng)絡(luò)設(shè)備：

NAT設(shè)備：提供運(yùn)營(yíng)商級(jí)的NAT轉(zhuǎn)換功能，將用戶(hù)私有地址轉(zhuǎn)換為公有地址，同時(shí)需要將NAT轉(zhuǎn)換日志上傳給日志系統(tǒng)（Log Server）。

BRAS：負(fù)責(zé)接入終端，并配合AAA完成用戶(hù)認(rèn)證、授權(quán)和用戶(hù)計(jì)費(fèi)。

日志留存相關(guān)設(shè)備：

AAA：負(fù)責(zé)用戶(hù)認(rèn)證、授權(quán)和計(jì)費(fèi)，記錄和維護(hù)用戶(hù)計(jì)費(fèi)和賬號(hào)等信息。AAA服務(wù)器可記錄用戶(hù)私有地址與賬號(hào)的對(duì)應(yīng)關(guān)系。

DPI（Deep Packet Inspection，深度包檢測(cè)）：負(fù)責(zé)完成用戶(hù)URL記錄的抓取，并上傳給Log Server。

日志系統(tǒng)（Log Server）：接收和記錄用戶(hù)訪(fǎng)問(wèn)信息、NAT日志和Radius日志，生成用戶(hù)溯源信息。

三、NAT設(shè)備主要部署方案

目前NAT44部署方式主要有獨(dú)立設(shè)備和插卡兩種方式：獨(dú)立NAT設(shè)備旁?huà)炀W(wǎng)絡(luò)設(shè)備，NAT插卡作為板卡插入現(xiàn)網(wǎng)設(shè)備。

在實(shí)際部署中，NAT設(shè)備部署在IP城域網(wǎng)網(wǎng)出口或省出口層面，形成集中式部署方式；部署在BRAS或AC層面，形成分布式部署方式。

NAT設(shè)備在運(yùn)營(yíng)商網(wǎng)絡(luò)中有以下三種典型部署場(chǎng)景：（圖2）

省核心路由器旁?huà)霳AT設(shè)備（適用于網(wǎng)絡(luò)未扁平化運(yùn)營(yíng)商）：NAT設(shè)備作為獨(dú)立設(shè)備，集中式旁?huà)煸谑【W(wǎng)核心路由器；

IP城域網(wǎng)核心路由器旁?huà)霳AT設(shè)備：NAT設(shè)備作為獨(dú)立設(shè)備，集中式旁?huà)煸贗P城域網(wǎng)核心；

BRAS/AC分布式插NAT板卡：NAT設(shè)備作為板卡，插入B RAS、AC等設(shè)備。

三種方式特點(diǎn)及應(yīng)用場(chǎng)景如下：

表1 NAT設(shè)備部署方式對(duì)比

類(lèi)別 集中部署（省網(wǎng)核心旁?huà)欤?集中部署（城域核心旁?huà)欤?分布式插卡

部署場(chǎng)景 用戶(hù)規(guī)模較小?。úl(fā)50萬(wàn)以下），且網(wǎng)絡(luò)未扁平化 用戶(hù)規(guī)模較大地市（并發(fā)10萬(wàn)以上） 少量地區(qū)需做NAT時(shí)（單點(diǎn)并發(fā)用戶(hù)在1萬(wàn)以下）

對(duì)網(wǎng)絡(luò)路由影響 一般采用策略路由引導(dǎo)，僅對(duì)省核心路由器有影響 一般采用策略路由引導(dǎo)，僅對(duì)城域核心路由器有影響 無(wú)影響

可靠性 高，可實(shí)現(xiàn)session級(jí)備份，同時(shí)NAT設(shè)備間可實(shí)現(xiàn)

N：1備份 高，可實(shí)現(xiàn)session級(jí)備份，同時(shí)NAT設(shè)備間可實(shí)現(xiàn)

N：1備份 一般，需要同BRAS備份相結(jié)合

標(biāo)準(zhǔn)化程度 高，源于防火墻，各運(yùn)營(yíng)商有相應(yīng)標(biāo)準(zhǔn)，且進(jìn)行了相應(yīng)集采 高，源于防火墻，各運(yùn)營(yíng)商有相應(yīng)標(biāo)準(zhǔn)，且進(jìn)行了相應(yīng)集采 和BRAS設(shè)備捆綁，透明度不高

運(yùn)營(yíng)商可根據(jù)自身網(wǎng)絡(luò)特點(diǎn)選擇相應(yīng)部署方式，隨著運(yùn)營(yíng)商需要做NAT規(guī)模擴(kuò)展，以及網(wǎng)絡(luò)扁平化趨勢(shì)，方式二：集中部署（城域網(wǎng)核心旁?huà)欤⑹侵髁骷軜?gòu)。下述章節(jié)將對(duì)方式二：集中部署（城域網(wǎng)核心旁?huà)欤┫嚓P(guān)組網(wǎng)細(xì)節(jié)進(jìn)行分析。

3.1 NAT設(shè)備組網(wǎng)方式

NAT設(shè)備旁?huà)煊贗P城域網(wǎng)核心（以下簡(jiǎn)稱(chēng)CR），在實(shí)際部署中，可根據(jù)傳輸資源選擇NAT雙歸部署或單歸屬部署，具體如下圖所示：

圖3 NAT設(shè)備組網(wǎng)示意

雙歸屬連接：2臺(tái)NAT設(shè)備建議分別雙歸連接到兩臺(tái)核心路由器，2臺(tái)NAT設(shè)備之間形成備份關(guān)系，此組網(wǎng)方式安全性較高，推薦采用；

單歸屬連接：在核心路由器之間光纖資源或傳輸資源不足的情況下，可以選擇NAT設(shè)備單歸連接到核心路由器的組網(wǎng)方式。

3.2 路由規(guī)劃建議

（1）對(duì)于出網(wǎng)流量：

對(duì)于出網(wǎng)流量，建議在CR上配置策略路由，對(duì)于源地址需要NAT轉(zhuǎn)換的流量，下一跳指向NAT設(shè)備，由NAT設(shè)備負(fù)責(zé)完成地址轉(zhuǎn)換；

對(duì)于NAT轉(zhuǎn)換后的流量，通過(guò)靜態(tài)路由回注到核心路由器；

如條件具備（現(xiàn)階段需要2臺(tái)NAT設(shè)備同廠(chǎng)家且同型號(hào)），建議兩臺(tái)NAT設(shè)備間開(kāi)通會(huì)話(huà)同步；若兩臺(tái)NAT設(shè)備間未做會(huì)話(huà)同步，為避免同一用戶(hù)一個(gè)應(yīng)用出現(xiàn)不同公網(wǎng)IP以影響部分應(yīng)用正常使用（例如網(wǎng)銀業(yè)務(wù)），所有出網(wǎng)流量需根據(jù)源地址段（例如將各地市私網(wǎng)段劃分為2個(gè)，即IP1和IP2）在城域網(wǎng)中做流量牽引，設(shè)備正常工作時(shí)將源地址段為IP1的流量引向NAT1，源地址段為IP2的流量引向NAT2。

（2）對(duì)于入網(wǎng)流量：

建議動(dòng)態(tài)引流方案：CR上將NAT后公網(wǎng)地址段注入到BGP路由中。

對(duì)于NAT轉(zhuǎn)換后的流量，通過(guò)靜態(tài)路由回注到核心路由器CR。

另外，NAT設(shè)備與核心路由器之間需要開(kāi)啟IGP路由協(xié)議，僅用于通告設(shè)備Loopback地址以及內(nèi)部互聯(lián)地址。

（3）如采用單歸屬上連方式，為實(shí)現(xiàn)NAT設(shè)備間的安全備份，還需進(jìn)行以下配置：

NAT-1與CR1，CR2與NAT -2、CR1與CR2間互聯(lián)口起ISIS（假設(shè)IGP為ISIS）單獨(dú)進(jìn)程，NAT-1和NAT-2的LOOPBACK接口使能ISIS。CR1和CR2 間增配一對(duì)互聯(lián)地址，NAT設(shè)備各增配1個(gè)32位的loopback地址；

NAT設(shè)備的上下行接口需同時(shí)關(guān)斷。

3.3 地址及端口使用規(guī)劃建議

建議采用端口塊固定大小方式，根據(jù)某運(yùn)營(yíng)商現(xiàn)網(wǎng)統(tǒng)計(jì)，平均每用戶(hù)會(huì)話(huà)數(shù)在50～120之間，超過(guò)512會(huì)話(huà)的不到2%，因此建議每個(gè)私網(wǎng)IP固定分配512個(gè)端口號(hào)（各運(yùn)營(yíng)商可根據(jù)實(shí)際情況調(diào)整）；

2臺(tái)NAT設(shè)備互為主備，其中正常工作時(shí)NAT-1負(fù)責(zé)IP1源地址段轉(zhuǎn)換，NAT-2負(fù)責(zé)IP2源地址段轉(zhuǎn)換；

為避免設(shè)備故障，單臺(tái)NAT設(shè)備工作時(shí)地公網(wǎng)地址不足，NAT-1設(shè)備需為IP2預(yù)留所需公網(wǎng)地址，NAT-2設(shè)備同樣需為IP1預(yù)留所需公網(wǎng)地址。

NAT-1和NAT-2采用不同公網(wǎng)地址段。

四、日志溯源方案

NAT44 部署后，用戶(hù)使用私有地址，而用戶(hù)報(bào)文在NAT轉(zhuǎn)換后的地址與實(shí)現(xiàn)源地址不同，應(yīng)用服務(wù)器只能獲得NAT轉(zhuǎn)換后的公網(wǎng)地址，且同一公網(wǎng)地址對(duì)應(yīng)多個(gè)私網(wǎng)地址，此時(shí)將無(wú)法對(duì)用戶(hù)進(jìn)行精確溯源。

根據(jù)《工業(yè)和信息化部印發(fā)<工業(yè)和信息化部關(guān)于進(jìn)一步深入整治手機(jī)淫穢色情專(zhuān)項(xiàng)行動(dòng)工作方案>的通知》（工信部電管〔2009〕672號(hào)）和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（中華人民共和國(guó)國(guó)務(wù)院令2000年第292號(hào)）文件對(duì)運(yùn)營(yíng)商上網(wǎng)日志留存的相關(guān)要求，運(yùn)營(yíng)商需提供用戶(hù)完整的用戶(hù)上網(wǎng)日志。因此運(yùn)營(yíng)商在進(jìn)行NAT44部署時(shí)，需同步部署NAT日志留存系統(tǒng)。

4.1 基于應(yīng)用層的用戶(hù)溯源系統(tǒng)工作原理

傳統(tǒng)用戶(hù)溯源方式一般采用Radius 日志和NAT日志合并溯源方案，采用該種方式可實(shí)現(xiàn)“用戶(hù)私網(wǎng)地址、私網(wǎng)端口號(hào)、公網(wǎng)地址、公網(wǎng)端口號(hào)、上下線(xiàn)時(shí)間、用戶(hù)賬號(hào)”信息的記錄，采用該方式對(duì)于現(xiàn)網(wǎng)改造較小，是運(yùn)營(yíng)商普遍采用方案，但也存在嚴(yán)重不足：

該方式未記錄用戶(hù)上網(wǎng)信息（URL信息），而目前政府監(jiān)管部門(mén)一般僅提供源公網(wǎng)地址和時(shí)間段，此時(shí)運(yùn)營(yíng)商將無(wú)法實(shí)現(xiàn)用戶(hù)精確溯源。

本文針對(duì)傳統(tǒng)用戶(hù)溯源方式存在不足，提出一種基于應(yīng)用層的用戶(hù)精確溯源方式，該工作原理如下：

圖4 NAT日志溯源原理

該方案通過(guò)在IP城域網(wǎng)出口部署DPI系統(tǒng)，為確保DPI日志信息的完整，DPI系統(tǒng)的部署位置應(yīng)置于NAT系統(tǒng)之后。（注：Deep Packet Inspection，深度包檢測(cè)，是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，通過(guò)深入讀取IP包載荷的內(nèi)容來(lái)對(duì)OSI 7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容。）

部署DPI系統(tǒng)后，相關(guān)系統(tǒng)輸出日志如下：

NAT44設(shè)備：輸出用戶(hù)私網(wǎng)地址、私網(wǎng)端口號(hào)、源公網(wǎng)地址、源公網(wǎng)端口號(hào)、上下線(xiàn)時(shí)間；

AAA系統(tǒng)：輸出用戶(hù)賬號(hào)、私網(wǎng)地址、私網(wǎng)端口號(hào)、上下線(xiàn)時(shí)間；

DPI系統(tǒng)：輸出用戶(hù)源公網(wǎng)地址、源公網(wǎng)地址端口號(hào)、目的公網(wǎng)地址、目的公網(wǎng)地址端口號(hào)、URL地址、上下線(xiàn)時(shí)間。

為實(shí)現(xiàn)日志的精確合成，所有系統(tǒng)必須從同一時(shí)鐘源獲取基準(zhǔn)時(shí)間。

NAT日志系統(tǒng)（Log Server），負(fù)責(zé)采集并解析以上三類(lèi)日志，根據(jù)三類(lèi)日志中兩兩共有的諸如IP地址、端口號(hào)、起止時(shí)間等關(guān)鍵字段將三者關(guān)聯(lián)生成用戶(hù)上網(wǎng)完整記錄，并提供相應(yīng)查詢(xún)服務(wù)。

其工作流程如下圖：

圖5 NAT日志系統(tǒng)（Log Server）工作原理

4.2 日志輸出方式建議

NAT44設(shè)備輸出日志分為會(huì)話(huà)（Session）級(jí)和用戶(hù)級(jí)（PBA），兩者區(qū)別在于：

在session級(jí)的日志輸出中，每新建一個(gè)session觸發(fā)日志信息輸出，拆除session時(shí)也會(huì)觸發(fā)日志信息輸出。

在用戶(hù)級(jí)（PBA）的日志輸出中，用戶(hù)新建第一個(gè)session時(shí)，發(fā)送一個(gè)日志消息，拆除用戶(hù)最后一個(gè)session或所有會(huì)話(huà)維持時(shí)間超出老化時(shí)間時(shí)，再發(fā)送一個(gè)日志消息，而中間無(wú)論新建和拆除session均不發(fā)送日志消息。

Session級(jí)為傳統(tǒng)方案，一般的防火墻均可實(shí)現(xiàn)，但若應(yīng)用在電信運(yùn)營(yíng)商網(wǎng)絡(luò)中則有較大問(wèn)題，Session級(jí)日志會(huì)產(chǎn)生巨大的日志量，例如以1萬(wàn)用戶(hù)為例：

采用Session級(jí)日志輸出：根據(jù)某運(yùn)營(yíng)商現(xiàn)網(wǎng)統(tǒng)計(jì)，單用戶(hù)平均產(chǎn)生會(huì)話(huà)為20個(gè)/秒，用戶(hù)平均在線(xiàn)率為50%，則一天24小時(shí)會(huì)產(chǎn)生24*3600*20*0.5=8，640，000萬(wàn)條日志；

采用用戶(hù)級(jí)（PBA）日志輸出：同樣根據(jù)某運(yùn)營(yíng)商現(xiàn)網(wǎng)統(tǒng)計(jì)，單用戶(hù)每天上線(xiàn)次數(shù)均為4次，則一天24小時(shí)僅產(chǎn)生4*2=8萬(wàn)條日志。

由此可看出，采用Session級(jí)方式的日志量是用戶(hù)級(jí)的11萬(wàn)倍，差距非常大。根據(jù)工信部相關(guān)要求，日志需留存60天，為節(jié)省大量存儲(chǔ)設(shè)備投資，建議電信運(yùn)營(yíng)商應(yīng)采用用戶(hù)級(jí)（PBA）日志方案，在網(wǎng)絡(luò)規(guī)劃階段提前做好技術(shù)要求，并購(gòu)置支持用戶(hù)級(jí)（PBA）日志輸出的NAT44設(shè)備。

五、結(jié)束語(yǔ)

運(yùn)營(yíng)級(jí)NAT44系統(tǒng)是當(dāng)前電信運(yùn)營(yíng)商解決IPv4地址不足的唯一途徑，它不僅僅是幾臺(tái)NAT設(shè)備，而是一個(gè)完整的體系，通過(guò)對(duì)NAT44設(shè)備、用戶(hù)溯源系統(tǒng)的合理部署以及網(wǎng)絡(luò)路由的合理規(guī)劃，不僅能有效解決運(yùn)營(yíng)商業(yè)務(wù)發(fā)展中IP地址瓶頸，同時(shí)也能很好地解決NAT部署所帶來(lái)的各種安全問(wèn)題。